Mimochodem
> Pokud by útočník chce podvrhnout konfigurační údaje, musí nějakým způsobem zasáhnout do komunikace v okamžiku vyslání prvního požadavku klienta.
a nebo taky libovolného dalšího, ne? Když je to zjevně nemanagovací switch, může otrávit ARP, strhnout komunikaci s DHCP serverem na sebe a dělat si co je libo.
Takže jediná změna je asi v tom, že zatímco u IPv4 jsi musel čekat do vypršení DHCP lea*se, u IPv6 můžeš klienty updatnout rovnou (což tam není jen tak pro srandu, používá se to třeba když máš záložní router a ten hlavní vypadne - prostě pošleš všem klientům update a všichni jsou šťastní).
* rootí antispamová kontrola, nešlo by to overridnout třeba přidáním nějakého tagu do textu?
Dneska maji vsechny rozumne switche podporu pro dhcp snooping, anebo alespon umizni nejak filrovat port dhcp. Navic request a response pouzivaji ruzne porty aby se to dalo snadno filtrovat. Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.
Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW. U IPv4 DHCP mate Option82, mate DHCP servery s LDAP backendem, popr. muzete mit jako backend Pythoni script. Muzete nastavit, ze ten kdo nezatuka na DHCP server, ten proste na internetu nebude, a kdyz uz klient s DHCP serverem mluvi tak mate kontrolu nad tim co se mu posle a navic to mate zalogovane.
> Jak je to u IPv6, ucekaval bych ze se proste nastavi, ze tehle portu nesni posilat RA packety a je to vyresene.
Ano, takto to funguje, akorát potřebuješ switch, který to umí, tj. dostatečně „moderní“ (protože IPv6 je s námi v současné formě jenom 10 let, že jo…).
>Porad mam "mentalni" problem s tim, ze auto-konfiguraci ridi nejaky router na kterem si nemuzu spustit vlastni SW.
Tak já si třeba na routeru vlastní SW spustit můžu :), ale obecně nikdo neříká, že RA musí posílat jenom fyzický router, ne? Můžeš ho posílat z nějakého jiného stroje.
Ad. ten zbytek - co přesně tím implementuješ? Nějakou kontrolu „ip adresa per fyzická zásuvka“?
rekneme, ze udelat fake router, ktery bude delat proxy na facebook by se dal udelat lehce, ale problem je v tom, ze facebook pouziva https, to by se muselo obejit pouzitim noveho certifikatu a uzivatel by si toho vsiml.
Ale co tak udelat fake router na root.cz? To by mohlo byt podstatne zajimavejsi, protoze
ROOT.CZ POUZIVA HTTP I NA PRIHLASOVACI STRANCE!!!!
http://www.root.cz/prihlasit/?refUrl=http%3A%2F%2Fwww.root.cz%2F
Kdyz se zrovna bavime o bezpecnosti, nechcete s tim neco udelat?
Mam domaci sit (cat6), router mikrotik, za nim home server (debian), 3 desktopy (debian + 2x win), LAN tiskarna, IP teplomer, IP kamera a mobily pres wifi (bridged).
Zatim neplanuji zadne zarizeni zpristupnit zvenku.
Mel bych se vubec v mem prostredi zabyvat IPv6, kdyz muj provider (UPC) IPv6 nepodporuje?
Prosímtě, a ten článek jsi četl?
Pokud někdo až do této chvíle žil v přesvedčení, že se ho uvedené problémy netýkají, protože IPv6 ho zatím vůbec nezajímá, tak je na velkém omylu. Dnes mají všechny hlavní operační systémy podporu IPv6 ve výchozím stavu aktivovanou a je tedy na nich možné realizovat téměř všechny útoky využívající protokol IPv6 bez ohledu na to, zda je protokol v síti implementován správcem či nikoliv.
tiskárna a kamera na 90% podporu IPv6 stejne mit nebudou.
No, IPv6 (SLAAC) podporuje už cca 8 let stará HP multifunkce, která mi tu ještě furt běží převážně jako kopírka a síťový skener. Na nových HP včetně toho nejlevnějšího shitu za pár tisíc funguje i DHCPv6. Rovněž cca 8 let stará IP kamera od Axisu IPv6 umí.
Ha ha. To bude asi nějaký okrajový význam slova funguje, který mi zatím uniká.
Desítky našich HP tiskáren mají chybu ve firmware, která posílá DHCP6 Renew 100x za vteřinu. Já to považuji za flood a útok. S podporou HP jsme došli loni v červenci tak daleko, že si vývojáři z Maďarska stáhly můj .pcap s podrobným popisem. Před měsícem to ale Slovák z podpory HP zabil (uzavřel) s naprosto nesmyslnou odpovědí. Bez odvolání.
Pokud mi někdo poradí, kam se obrátit, budu tomu ještě věnovat čas. Zatím jsem díky této chybě mohl nahlásit bug v dhcp-4 (CentOS 6).
Jako běžný uživatel dělej to co doposud - neřeš to. Bav se na Faceboku, Youtube, diskutuj na Novinkách atd. a buď v klidu. Hlavně že ten Facebok a Youtobe jede. A až jednoho dne nepojede, sousedovic Pepíček to jistě opraví. Přinejhorším zajdeš do toho PC krámku na rohu ulice. Mimochodem, jako běžný uživatel budeš vědět leda tak mlhavě o tom, že je nějaký "nový internet".
Mám takový extrémní názor, že výpočetní technika a sítě "obyčejným lidem" do ruky nepatří. Lid je ale zjevně opačného názoru. Tak se s tím bude muset nějak popasovat.
Děkuji autorovi.
Bezvadně vysvětlené a pochopitelné. Jsem překvapen jak jednuduché je napadnout síť IPv6. Také bych očekával lepší zabezpečení popřípadě více práce pro případného útočníka.
Oceňuji takové sdílení informací a rád bych loboval za udržení kvality a detailech při vysvětlování jak útok provést.
Pokud budu vědět jak to funguje mohu se pokusit zabránit takovým útokům dostupnými prostředky.
Ještě jednou díky a skvělá práce.
Honza
> Jsem překvapen jak jednuduché je napadnout síť IPv6. Také bych očekával lepší zabezpečení popřípadě více práce pro případného útočníka.
Já si nějak nedokážu představit, jak to líp zabezpečit - nápady? Podle mě to ani v principu vyřešit nejde: na jednu stranu chceš, abys mohl kamkoli do sítě připojit router, a klienti se automaticky nakonfigurovali. Na druhou stranu chceš, aby útočník do sítě nemohl připojit router a klienty překonfigurovat. Možnosti již byly zmíněny: switch, který limituje, na kterých portech může být router. A potom SeND - router bude své pakety digitálně podepisovat, aby se vědělo, od koho to je.
Stejné "problémy" má i IPv4. To co popisuje článek je asi tak to samé jako kdybychom si do svého ADSL routeru místo telefoního kabelu zapojili útočníka.
Je to tím, že L3 vrstvě nepřísluší řešit "bezpečnost" tedy autentikaci. Jejím účelem je jen a pouze sjednotit jednotlivé propojené počítače do ucelené sítě. K autentikaci slouží vyšší vrstvy. Pokud bychom po tom přece jen na této vrstvě toužili, použijeme IPSec. Tomu ,že uživatelé neumí zacházet s certifikáty se nevyhneme, leda ,že by na internet byl také povinně "řidičský průkaz".
Je to jako kdybychom volny LAN port ve svem (ADSL) routeru poskytli utocnikovi. A to se stat muze bud poskytovanim internetu sousedum, nebo spatne udelanym wifi routerem a pripojenim wifi zarizeni. Utocnik se pak uz postara aby provoz sel na nej a ne skrz ten router ven. Oni totiz tyhlety domaci routery maji na LAN portech tusim jen nejaky bridge ktery vubec zadnou bezpecnost/izolaci pripojenych zarizeni neresi.
Ted jsem si vzpomel, ze neco podobneho je i na IPv4. Jmenuje se to multicast router advertisment. Pokud klient posle tenhle packet do site, tak sam sebe prohlasi za multicast router a tim na sebe presmeruje veskery multicastovy trafic. A navic pri tom obejde vsechny IGMP access listy. Resenim je filtrovat adresu, ktera je s timhle protokolem asociovana.